最近有人私我有没有sidewinderAPT素材样本分析,这里有一份分析笔记,贴博客了。博客好久没更新,有在其它平台分享知识,博客后续也会同步过来。

➬ 诱饵分析:

① lnk欺骗点击,诱饵名”Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus”,提取url如下,黑加白利用:
SideWinder投递COVID素材样本分析

②下载js恶意文件,经过了大量混淆和加密如下图所示:
SideWinder投递COVID素材样本分析_第1张图片

③ 标签类型浏览器嵌入执行,ActiveXobject标识对象支持IE6~IE8版本。修改js脚本,执行恶意代码记录污染的生命周期,经历了三个阶段:
  3.1数据解密
  3.2 创建对象,枚举文件找c#环境,遍历进程,获取系统杀软与版本信息
  3.3 下载file.hta,诱饵文档.pdf

SideWinder投递COVID素材样本分析_第2张图片

➬ file.hta分析

SideWinder投递COVID素材样本分析_第3张图片


④ 内存中调用加载器.Net程序,work方法执行x,y参数,提取stinstller.exe和x,y变量,分析如下:
SideWinder投递COVID素材样本分析_第4张图片

⑤ 内存中解密,OD附加提取Stinstaller,如下所示:

SideWinder投递COVID素材样本分析_第5张图片

⑥ Stinstaller.exe分析:
Stinstaller感染过程经历以下阶段:
  1.环境变量(用于释放使用)
  2.注册表自启动持久化
  3.创建目录 c:\progarmData\xxxx

SideWinder投递COVID素材样本分析_第6张图片

  4. 内存中解密Duer.dll,NqrvhJ4.tmp(dll),rekeywiz.exe和配置文件,写入文件夹中。
SideWinder投递COVID素材样本分析_第7张图片
SideWinder投递COVID素材样本分析_第8张图片

⑦ rekeywiz.exe加载Duser进行c2下载,解密加载。
SideWinder投递COVID素材样本分析_第9张图片

➬ NqrvhJ4.tmp分析

核心目标数据窃取和上传
1.初始化配置信息,用来指定窃取文件类型和上传目录等配置:
SideWinder投递COVID素材样本分析_第10张图片

2.GetTimerCallback下载指定Url文件
SideWinder投递COVID素材样本分析_第11张图片

3.窃取文件,保存在固定文件夹下,文件后缀随机字符+特定字符串
SideWinder投递COVID素材样本分析_第12张图片

4.采集系统数据,文件重命名指定后缀.sif
SideWinder投递COVID素材样本分析_第13张图片

5.PostTimerCallback用于上传指定文件
SideWinder投递COVID素材样本分析_第14张图片

6.更新注册表中解密数值,从注册表HKCU\Sotfware\Authy读取解密配置,遍历文件找到特定的文件,配置信息加密后保存到注册表中。
SideWinder投递COVID素材样本分析_第15张图片

7.标识指定后缀指定类型
SideWinder投递COVID素材样本分析_第16张图片

后缀 文件数据
.sif sysInfo
.flc fileListing
.fls fileSelection
.err errorReport

8.上传注册表中指定后缀的文件,gzip全压缩上传
SideWinder投递COVID素材样本分析_第17张图片
SideWinder投递COVID素材样本分析_第18张图片

9.json字段填充标识
SideWinder投递COVID素材样本分析_第19张图片

字段 解析
filePath 命名后的文件名及后缀
Complete 文件传送情况
sentOffset 文件上传的数据大小


➬ 情报:

SideWinder投递COVID素材样本分析_第20张图片

  从诱饵文档可知主题仍与巴基斯坦相关,SideWinder与巴基斯坦安全长久以来保持安全对抗关系。19年开始SideWinder对我国政府教育等机构展开了趋势,意图窃取敏感信息.

➬ IOCs:

3c9f64763a24278a6f941e8807725369
120e3733e167fcabdfd8194b3c49560b
7442b3efecb909cfff4aea4ecaae98d8
40fd59323c3883717faca9424b29b9aa